基本情報技術者試験「インシデント対応」の問題
D社では、侵害されたWebサーバの脅威除去(根絶)を終え、業務へ復旧させようとしている。早く再開したいという声が現場から強い。インシデント対応の復旧段階の進め方として、最も適切なものはどれか。
ア再開を急ぐ現場の要望を優先し、動作確認を省いてサーバをそのまま本番へ戻す。
イ確実に元の状態へ戻す目的で、攻撃を受けていた時点のバックアップを選んで書き戻し再開する。
ウ復旧そのものを優先し、再侵害の監視は通常運用が安定してから後で始める。
エ清浄性を確認した状態へ戻し、正常動作と再侵害の兆候を見ながら範囲を広げて再開する。
正解
エ.清浄性を確認した状態へ戻し、正常動作と再侵害の兆候を見ながら範囲を広げて再開する。
復旧段階の目的は、根絶済みの安全な状態でシステムを通常運用へ戻すことである。クリーンなバックアップや再構築で復旧し、正常動作の検証と再侵害兆候の監視を続けながら段階的に再開すれば、再発を早期に捉えつつ安全に業務を戻せる。
?選択肢ごとの解説
ア ×動作確認を省いて戻すと、設定不備や根絶漏れに気づけず、不完全な状態で本番稼働して再障害や再侵害を招く。
イ ×攻撃を受けていた時点のバックアップから書き戻すと脅威ごと復元してしまい、根絶した意味がなく即座に再感染する。
ウ ×再侵害は復旧直後にも起こり得るため、監視開始を安定後まで遅らせると兆候の検知が遅れ被害を見逃す。
エ ○復旧段階の目的は、根絶済みの安全な状態でシステムを通常運用へ戻すことである。クリーンなバックアップや再構築で復旧し、正常動作の検証と再侵害兆候の監視を続けながら段階的に再開すれば、再発を早期に捉えつつ安全に業務を戻せる。
✎くわしく
復旧(recovery)は、クリーンな状態への回復・検証・段階的な本番復帰・復旧後監視で構成される。復旧元の安全性(感染前かつ脅威除去済みか)の確認と、戻した後の継続監視が要点で、急いで無検証に戻すのは再発リスクが高い。
✓本番での押さえどころ
試験のコツ
復旧は『清浄な状態へ戻す+動作検証+復旧後監視+段階再開』。無検証の即時復帰や感染バックアップ復元は誤り。
覚え方
復旧は『きれいにして戻し、しばらく見守る』。戻したら監視を切らない。
よくある誤り
早期再開の圧力で動作確認や監視を省く。あるいは復旧元バックアップの清浄性を確認せず感染状態を復元してしまう。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0124